ragequit Feb 4 2015 at 12:44

Mail.ru и «Яндекс» запустили собственные сервисы двухфакторной аутентификации с разницей в несколько часов

2 min

14K

PresentationsIT-companies

+17

Comments 34

MaximChistov Feb 4 2015 at 13:14

Мне вот больше стандартный вариант нравится, как минимум можно под него сделать софт, который после связи компа и телефона будет автоматически код подтверждения на компе вводить сразу после прихода смс, в «проприетарном» и антистандартовом варианте яндекса так не выйдет уже…

shifttstas Feb 4 2015 at 13:39

ну как миниимум на iOS/OS X так это и работает — код прилетает в родное приложение на мак

MaximChistov Feb 4 2015 at 13:49

знаю, у самого айфон и прошка, весьма удобная вещь.

Ezhyg Feb 4 2015 at 16:46

Теперь осталось выяснить, кто с вами третий на фото! :D

MaximChistov Feb 4 2015 at 16:51

что?

Ezhyg Feb 4 2015 at 17:03

Шутка не удалась :(

Второй демотиватор, из двух фотографий, на фото слева — стоят трое, вы, двое, уже отметились, третий ещё нет… примерно так я это увидел.

MaximChistov Feb 4 2015 at 17:56

Эм, не понял, мне-то как раз-таки не нравится вариант яндекса…

Ezhyg Feb 4 2015 at 18:02

Да, нет же! Шутка заключалась в стиле одежды на фото, такие люди точно станут пользоваться iДевайсами, как и вы оба, отписавшиеся про яблочные устройства.

Теперь, блин, с объяснением, шутка тупее некуда стала :(

MaximChistov Feb 4 2015 at 18:04

Стереотипы — это глупо.

Ezhyg Feb 4 2015 at 18:10

Шутка же… просто шутка.

Только что придумал: надо было просто спросить меня — «третьим будешь?» и мне было бы не отмазаться, и шутка получилась бы лучше.

И, нет, я не считаю всех пользователей яблочной продукции фриками, какие показаны на фото (разве что чуть-чуть).

UFO landed and left these words here

Ezhyg Feb 5 2015 at 14:00

Третьим будешь?

UFO landed and left these words here

Vilgelm Feb 5 2015 at 03:04

Вариант с SMS менее надежен, т.к. SIM карту можно клонировать (для этого не нужно иметь доступ к оригинальной SIM карте, нужен только свой человек у оператора (можно найти такие услуги на различных тематических форумах) и перехватить код (где-то здесь у человека был пост про то, как у него склонировав SIM карту увели деньги с QIWI кошелька).
Плюс SMS со временем могут стать платными (например, у Webmoney с недавних пор получение SMS кода стоит 1.5 руб).

Мне лично нравится вариант от Microsoft — там достаточно подтвердить запрос на мобильном устройстве и все. Не надо вводить никаких кодов, сканировать QR коды.

vlivyur Feb 6 2015 at 16:20

Только не клонировать, а перевыпустить. Раньше можно было и клонировать и вообще б владелец фиг бы догадался.

ivako Feb 4 2015 at 16:46

Отдельное приложение у Яндекса неудобное для меня решение. Почему бы не использовать Google Authenticator или Authy…

ATLANT1S Feb 4 2015 at 16:53

Оба этих варианта совмещены в один у украинского ПриватБанка: можно СМС (по старинке), можно отсканировать QR на мобильном приложении…
А почему им пришлось выбирать что-то одно?

LbICbIY Feb 4 2015 at 17:33

Странно почему яндекс помимо инновационного не добавил ещё и обычный, как у mail.ru.

Vilgelm Feb 5 2015 at 03:05

SMS, все таки, стоят денег. Не знаю как в масштабах Яндекса, но, возможно, при массовом использовании этой функции это слишком дорого.

voidMan Feb 5 2015 at 04:46

Как раз в масштабах Яндекса, это не деньги ;)

DjOnline Feb 4 2015 at 17:38

Более интересным выглядит такой вариант.
1. Ввод логина и пароля.
2. Автозапуск приложения на смартфоне, где только одна кнопка — «войти». Всякие цифровые коды скрыты и не видны.
3. При её нажатии автовход на компьютере без лишних действий.

Это быстрее чем смс, и надежнее чем путь яндекса, где достаточно завладеть временно смартфоном и узнать/подглядеть/подобрать 4х значный код.

crusat Feb 4 2015 at 17:52

Можно вообще так:
1. Ввод только логина;
2. Отображается QR-код (в котором шифруем сессию этого пользователя и какой-нибудь публичный ключ, например)
3. У пользователя с ассоциированным номером телефона автозапуск/уведомление приложения.
4. Направляем телефон камерой на QR-код. Он автоматом его фотографирует и отправляет запрос на удаленный сервер об успешном (или нет) входе.
Или это неудачный вариант?

DjOnline Feb 4 2015 at 17:59

Это несекурно. Я отошёл, а кто-то взял мой телефон и навёл его на экран. Поэтому яндекс и добавил ещё 4х значный пин, но это тоже ерунда по сравнению с нормальным паролем.

crusat Feb 4 2015 at 18:31

Понятно, спасибо за объяснение)

Vilgelm Feb 5 2015 at 03:06

Кстати, именно так сделали Microsoft. Там даже приложение запускать не надо, уведомление в шторку сваливается (Запрос такой-то, Разрешить, Запретить).

darthslider Feb 5 2015 at 09:43

Меня немного волнует, что ситуации, когда нет интернета на телефоне они всё же чаще, чем когда нет связи вообще. Например в роуминге авторизация яндекса — не лучший вариант.

DjOnline Feb 5 2015 at 11:07

Поэтому можно соеденить два способа. Всегда приходит смс, приложение само читает смс и само входит. Как viber при регистрации.

UFO landed and left these words here

agent0 Feb 5 2015 at 02:51

Он опенсорсный под лицензией GPL. Есть в репозиториях F-Droid. Так что если бы захотели взяли бы. Например, двухфакторная авторизация у вконтакте работает именно через Google Authenticator. Яндексу, видимо, нужно было создать что-то своё.

UFO landed and left these words here

TPertenava Jun 12 2015 at 10:50

Поддерживаю, кроме того Authenticator не требует постоянного доступа к сети. С учетом опенсоурсности, о которой написали ниже — самое то.

coolmiha Feb 9 2015 at 13:46

Я бы рад пользоваться приложением Яндекса для аутентификации, однако не вышел версией андроида.